Megújult a hírhedt TDL4 botnet még több borsot törve ezzel a cégek és a biztonsági szakemberek orra alá. A kutatók szerint a TDL4 által használt rootkitet részben újraírták, látszólag azzal a céllal, hogy a káros szoftvert nehezebb legyen felismerni és eltávolítani. Az Eset szakemberei szerint a készítők teljesen átszabták a kernel mód illesztőt és a felhasználó payload részt, hogy a program még észrevétlenebbül tudjon dolgozni. Az egyelőre a biztonsági kutatók számára sem világos, hogy az eredeti készítők írták át a programot a jobb eladhatóság reményében vagy egy másik bűnözői csoport tökéletesítette a káros szoftvert.
Biztonsági kutatók nemrégiben egy olyan rootkitet fedeztek fel, amely a számítógép BIOS-át támadja, így téve a fertőzést sokkal észrevehetetlenebbé és eltávolíthatatlanabbá, ráadásul így a merevlemez esetleges cseréje sem jelent megoldást. A Mebromi névre keresztelt rootkitet először egy kínai biztonsági cég fedezte fel miközben az szabadon terjedt a világhálón. Ezután más kutatók is beszerezték a káros szoftvert és így sikerült annak működését elemezni. A Webroot analízise szerint a kártékony csomag öt részből tevődik össze, tartalmaz egy BIOS rootkitet, egy MBR rootkitet, egy kernel mode rootkitet, egy PE fájl fertőzőt és egy trójai letöltőt.
Egy, az AVAST Virus Lab által készített tanulmány szerint a frissítetlen Windows XP kalózverziók ideális célpontjai a rootkit fertőzéseknek. A tanulmány szerint a összes rootkit fertőzés több, mint 62%-ért a Master Boot Record-on (MBR) keresztüli fertőzés a felelős. Ezzel szemben a driver-ekkel történő fertőzések mindössze 27%-ot tesznek ki. A rootkit-ek között egyébként az egyértelmű első helyezett az Alureon rootkit (TDL4/TDL3) család, amely a fertőzések 74%-ért felelős.
A Kaspersky Lab Security szakemberei felfedeztek egy új rootkitet 64-bites Windows "támogatással". A rootkit a Banker rootkit egy új variánsa, amely főleg brazil ügyfelek banki belépési adatait igyekszik ellopni. A káros szoftver a Java egy elavult verziójának biztonsági résén keresztül jut a rendszerbe, majd első lépésként kikapcsolja a Windows User Account Control (UAC) szolgáltatást, így megszakítás nélkül tevékenykedhet.
Az RKAnalyzer egy olyan kernel szintű rootkit elemző és védekező eszköz, amely a BitVisor Project-et alapul véve használ hardver virtualizációs technikákat. A program megfigyeli és naplózza a kernel szintű rootkit tevékenységeket. Ami az RKAnalyzert megkülönbözteti a többi klasszikus felismerő szoftvertől, mint a Rootkit Revealer vagy az IceSword, az az, hogy az RKAnalyzer képes megelőzni a rootkit lépéseit, vagy akár reagálni azokra akkor is, ha a rendszer már fertőzött.
A káros szoftver fejlesztők új rejtőzködési technikát dolgoztak ki, rootkitjeik elrejtésére. Michael Kassner egy szakértővel készített interjút, aki elmagyarázza, néhány rootkit hogyan hamisítja a memóriát, hogy félrevezesse az antimalware programokat.
Egy igazi Cisco információs "kincsesbánya" nyújt segítséget alapvető IOS parancsok felkutatásában és megismerésében, egészen a rootkitek és utóelemzési technikák bemutatásáig.
A BitDefender kiadta az ingyenes eltávolító eszközét, mely a Stuxnet féreg összes ismert variációjához használható, csakúgy mint a rootkit driver-ekhez, amelyek a féreg kritikus komponenseinek elrejtésére használatos.
http://www.net-security.org/malware_news.php?id=1491
http://www.malwarecity.com/community/index.php?s=d27731beec701d4429856c3...
Eltartott egy darabig, de már az x64 Windows operációs rendszerek a rootkitek igazi célpontjai.
http://www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html
A jelenleg is zajló Black Hat hekkerkonferencia egyik előadója szofisztikált ATM feltörést mutatott be. Az általa írt "Dilinger" névre keresztelt exploit segítségével távolról vehető át az irányítás az ATM felett. A sérülékeny ATM-ek war-dialiing módszerrel "foghatóak" ki.
